Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 17/12/2015
En sikkerhedsfirma har fundet sårbarheder i seks Android-apps til parkering. De alvorligste kan give en angriber kontrol over den sårbare telefon.NCC Group oplyser ikke navnene på de seks apps.
De fleste apps bruger kryptering med TLS (Transport Layer Security) til at sikre kommunikationen med serveren. Men ingen af dem tjekker, at certifikatet er gyldigt. Dermed er der mulighed for at udføre et man-in-the-middle-angreb.
En enkelt leverandør lod brugerne bekræfte brugernavn og password via en ukrypteret e-mail. Hvis angribere opsnapper den, kan de få adgang til brugerens konto.
En app lagrer brugerens navn og password ukrypteret på telefonen.
En sårbarhed i en app giver angribere mulighed for at få fuld kontrol med telefonen. Det skyldes en svaghed i brugen af WebViews.
Anbefaling
NCC Group anbefaler udviklere af apps at bruge den nyeste version af Android API. Endvidere bør de konfigurere TLS sikkert og bruge certifikat-pinning.